談煙草行業(yè)信息安全運(yùn)維管理體系的建設(shè)

盛子健 武可瑞 吳 偉

（山東省濰坊市煙草專賣局，濰坊 261000）

引 言

隨著網(wǎng)絡(luò)信息技術(shù)的不斷提高和大規(guī)模普及應(yīng)用，信息系統(tǒng)中許多有價(jià)值的信息數(shù)據(jù)就成了網(wǎng)絡(luò)不法分子所攻擊的目標(biāo)。為了進(jìn)一步保障在信息化過程中煙草行業(yè)重要商業(yè)信息的安全性，國(guó)家煙草專賣局對(duì)煙草行業(yè)的信息系統(tǒng)安全保障體系的總體原則和建設(shè)內(nèi)容做出了明確的要求，制定了業(yè)務(wù)信息安全策略和信息安全管理體系，對(duì)信息安全技術(shù)體系和信息安全運(yùn)維體系的建設(shè)工作提出了指導(dǎo)意見和要求。

一、信息安全運(yùn)維服務(wù)現(xiàn)狀

（一）信息化建設(shè)現(xiàn)狀

對(duì)于我國(guó)煙草行業(yè)整體而言，信息化建設(shè)已經(jīng)取得了初步成效，但是目前還處于各個(gè)煙草企業(yè)獨(dú)自建設(shè)信息化系統(tǒng)的階段，國(guó)家煙草專賣局尚未開展統(tǒng)籌整體的信息化系統(tǒng)建設(shè)工作。雖然國(guó)家煙草專賣局有自己的官網(wǎng)，但是也僅僅停留在供煙草企業(yè)查詢政策、申辦政務(wù)的功能上，對(duì)于各個(gè)煙草企業(yè)本身的信息化系統(tǒng)是不具備統(tǒng)籌管理功能的。

對(duì)于各個(gè)煙草企業(yè)、各省市煙草行業(yè)而言，信息化系統(tǒng)建設(shè)成效不一。有的建設(shè)比較完備，已經(jīng)有了自己的局域網(wǎng)，線上辦公常態(tài)化，甚至有的煙草企業(yè)已經(jīng)開始建設(shè)黑燈工廠示范產(chǎn)品線。但是也有一些信息化系統(tǒng)較為落后的省市煙草行業(yè)，其辦公還處于計(jì)算機(jī)單機(jī)狀態(tài)，對(duì)紙質(zhì)文件的依賴度極高。

（二）信息安全運(yùn)維服務(wù)現(xiàn)狀

當(dāng)下，煙草行業(yè)的信息安全運(yùn)維服務(wù)狀況不是很樂觀。雖然有部分省市的煙草行業(yè)信息系統(tǒng)建設(shè)很完備，但是對(duì)于信息系統(tǒng)安全和網(wǎng)絡(luò)安全均不是很重視。一方面是安全運(yùn)維服務(wù)需要專業(yè)人士開展，需要一定的建設(shè)成本；另一方面是高層領(lǐng)導(dǎo)堅(jiān)信物理隔斷可以完全保證信息系統(tǒng)的安全性，忽略了內(nèi)部員工經(jīng)常“一機(jī)兩用”的現(xiàn)狀，導(dǎo)致當(dāng)下煙草行業(yè)的信息安全運(yùn)維服務(wù)開展?fàn)顩r不是很樂觀。同時(shí)，因?yàn)樾畔⑾到y(tǒng)的建設(shè)是在煙草行業(yè)各企業(yè)內(nèi)部自行開展的，所以信息安全管理運(yùn)維體系沒有全行業(yè)的標(biāo)準(zhǔn)，這需要國(guó)家煙草專賣局進(jìn)行統(tǒng)籌指導(dǎo)，確保體系建設(shè)成效。

二、信息安全運(yùn)維管理體系基本技術(shù)

（一）網(wǎng)絡(luò)安全管理技術(shù)

信息安全首要就是網(wǎng)絡(luò)安全，因?yàn)樵诨ヂ?lián)網(wǎng)時(shí)代，信息化系統(tǒng)是離不開網(wǎng)絡(luò)的。無論是處于局域網(wǎng)下的生產(chǎn)ERP系統(tǒng)，還是處于互聯(lián)網(wǎng)下的線上辦公，對(duì)網(wǎng)絡(luò)的依賴都比較大。因此，網(wǎng)絡(luò)安全管理是煙草行業(yè)信息安全運(yùn)維服務(wù)管理體系建設(shè)要首要考慮的問題。網(wǎng)絡(luò)安全管理的主要組成部分包括安全事件的采集、安全事件的管理、安全設(shè)備的監(jiān)控。這三部分應(yīng)是煙草行業(yè)在建設(shè)信息安全運(yùn)維服務(wù)管理體系時(shí)首要考慮的內(nèi)容。

（二）信息系統(tǒng)安全運(yùn)維管理體系

信息系統(tǒng)安全運(yùn)維管理體系主要分成兩個(gè)部分：一是管理體系，主要負(fù)責(zé)信息系統(tǒng)用戶使用模式規(guī)范化、系統(tǒng)授權(quán)統(tǒng)一管理及體系建設(shè)的標(biāo)準(zhǔn)指導(dǎo)；二是技術(shù)運(yùn)維體系，主要負(fù)責(zé)系統(tǒng)基本功能的實(shí)現(xiàn)，以及保障系統(tǒng)安全運(yùn)行，同時(shí)要保證管理體系建設(shè)緊跟信息技術(shù)的發(fā)展。

三、煙草行業(yè)信息安全運(yùn)維管理體系建設(shè)策略

如前文所述，當(dāng)下煙草行業(yè)的信息系統(tǒng)建設(shè)均由各地區(qū)的煙草企業(yè)自行開展，國(guó)家煙草專賣局尚未開始進(jìn)行統(tǒng)籌規(guī)劃。因此，應(yīng)當(dāng)從國(guó)家煙草專賣局的角度出發(fā)，建設(shè)統(tǒng)籌規(guī)劃煙草行業(yè)整體的信息安全運(yùn)維管理體系，建設(shè)行業(yè)整體的信息安全運(yùn)維管理系統(tǒng)，以一體化系統(tǒng)的形式推進(jìn)行業(yè)信息安全運(yùn)維管理體系的建設(shè)并且針對(duì)管理制度和管理運(yùn)維體系制定規(guī)范化的標(biāo)準(zhǔn)，指導(dǎo)一體化系統(tǒng)的建設(shè)。

（一）網(wǎng)絡(luò)安全管理體系建設(shè)策略

網(wǎng)絡(luò)安全管理體系建設(shè)主要指當(dāng)下對(duì)網(wǎng)絡(luò)依賴度較高的生產(chǎn)ERP系統(tǒng)、辦公系統(tǒng)等系統(tǒng)的安全管理體系建設(shè)。

對(duì)于內(nèi)外網(wǎng)互聯(lián)而言，應(yīng)針對(duì)性地提出網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)，指導(dǎo)系統(tǒng)實(shí)現(xiàn)終端內(nèi)外網(wǎng)統(tǒng)一接入。以網(wǎng)絡(luò)云技術(shù)統(tǒng)一內(nèi)網(wǎng)和外網(wǎng)的認(rèn)證、授權(quán)、訪問控制問題，靈活、方便、安全、可靠地解決內(nèi)外網(wǎng)安全接入的安全保障功能。同時(shí)，對(duì)辦公用賬號(hào)、生產(chǎn)用賬號(hào)進(jìn)行統(tǒng)一的授權(quán)管理，分門別類地授權(quán)賬號(hào)功能，確保信息安全。在確保信息安全的同時(shí)，也要確保網(wǎng)絡(luò)業(yè)務(wù)可以順利開展。在體系建設(shè)時(shí)，要將帶寬分配等網(wǎng)絡(luò)分配標(biāo)準(zhǔn)納入網(wǎng)絡(luò)安全管理體系建設(shè)中，以確保網(wǎng)絡(luò)業(yè)務(wù)不會(huì)卡頓。在確保網(wǎng)絡(luò)業(yè)務(wù)順利開展的同時(shí)，要監(jiān)控系統(tǒng)整體流量，利用計(jì)算機(jī)分析數(shù)據(jù)流量，預(yù)測(cè)利用網(wǎng)絡(luò)進(jìn)行系統(tǒng)攻擊的黑客行為，保障信息安全。

對(duì)于依賴內(nèi)部局域網(wǎng)程度較高的生產(chǎn)ERP系統(tǒng)的網(wǎng)絡(luò)管理體系建設(shè)而言，應(yīng)注重對(duì)網(wǎng)絡(luò)日志的留存和對(duì)網(wǎng)絡(luò)事件的監(jiān)控。生產(chǎn)不容大意，網(wǎng)絡(luò)日志的留存方便在系統(tǒng)出現(xiàn)問題時(shí)進(jìn)行后續(xù)的追責(zé)，這就對(duì)系統(tǒng)操作員及相關(guān)領(lǐng)導(dǎo)的管理工作提出了較高的要求，也可以保證其操作的規(guī)范和管理的認(rèn)真。另外，網(wǎng)絡(luò)事件的監(jiān)控可以對(duì)系統(tǒng)的網(wǎng)絡(luò)安全提前預(yù)警，將系統(tǒng)運(yùn)行問題帶來的負(fù)面影響降到最低。

（二）信息安全管理體系建設(shè)策略

對(duì)于煙草行業(yè)整體的信息安全管理體系建設(shè)而言，所需要考慮的主要是三個(gè)層面：決策層面對(duì)信息安全管理體系建設(shè)的指導(dǎo)，業(yè)務(wù)層面對(duì)信息安全管理體系建設(shè)的需求，技術(shù)層面對(duì)信息安全管理體系建設(shè)的實(shí)現(xiàn)。煙草行業(yè)有著自身的業(yè)務(wù)特點(diǎn)，管理也有相應(yīng)的特殊之處。因此，在進(jìn)行煙草行業(yè)的信息安全管理體系建設(shè)時(shí)一定要全方位考慮決策管理的指導(dǎo)標(biāo)準(zhǔn)、業(yè)務(wù)實(shí)現(xiàn)的功能需求，技術(shù)層面上要保證需求和標(biāo)準(zhǔn)的實(shí)現(xiàn)。

首先是決策層面的指導(dǎo)，這一點(diǎn)較為重要。決策層的指導(dǎo)意見是管理體系建設(shè)成效的根本保障。沒有具體化、標(biāo)準(zhǔn)化的指導(dǎo)意見，業(yè)務(wù)層在提需求時(shí)就有可能天馬行空，給技術(shù)上的實(shí)現(xiàn)帶來困難。因此，指導(dǎo)的具體化標(biāo)準(zhǔn)是實(shí)現(xiàn)信息安全管理體系建設(shè)的根本。

其次是業(yè)務(wù)層面的需求，信息安全管理體系建設(shè)不能脫離業(yè)務(wù)。業(yè)務(wù)完成的便利化、辦公自動(dòng)化、生產(chǎn)智能化是信息系統(tǒng)建設(shè)的根本目標(biāo)，信息安全管理體系的建設(shè)必須考慮到這些功能的需求，不能為了絕對(duì)的安全而不顧系統(tǒng)建設(shè)的目標(biāo)。

最后是技術(shù)層面的實(shí)現(xiàn)，實(shí)現(xiàn)信息安全管理體系建設(shè)的目標(biāo)才是技術(shù)層面需要完成的事情。由于當(dāng)前煙草行業(yè)信息按管理體系建設(shè)尚在探索之中，因此在技術(shù)上的實(shí)現(xiàn)不能邁大步，要循序漸進(jìn)。第一，要對(duì)重點(diǎn)關(guān)鍵業(yè)務(wù)的信息安全管理體系進(jìn)行相應(yīng)的實(shí)現(xiàn)，這些業(yè)務(wù)包括但不限于財(cái)務(wù)、物流、生產(chǎn)等煙草行業(yè)重點(diǎn)業(yè)務(wù)，這些業(yè)務(wù)的信息安全是重中之重，技術(shù)上的優(yōu)先實(shí)現(xiàn)是體系建設(shè)的目標(biāo)之一。第二，實(shí)現(xiàn)要循序漸進(jìn)。從技術(shù)層面考慮，體系有標(biāo)準(zhǔn)、有需求，其實(shí)現(xiàn)也是需要時(shí)間的。所以，對(duì)信息安全管理體系的建設(shè)時(shí)間不能卡得很緊，可以優(yōu)先實(shí)現(xiàn)一些緊要的業(yè)務(wù)信息安全管理體系功能，但是對(duì)于整體體系建設(shè)一定要保證充裕的時(shí)間，這樣可以避免系統(tǒng)漏洞，也有助于體系建設(shè)的目標(biāo)實(shí)現(xiàn)。

（三）運(yùn)維服務(wù)體系建設(shè)策略

運(yùn)維服務(wù)體系建設(shè)是整個(gè)信息安全管理體系建設(shè)的重要模塊之一。首先是體系融合，由于信息安全管理體系建設(shè)的系統(tǒng)工程量巨大，是要進(jìn)行外包的，而系統(tǒng)后期的運(yùn)維要靠煙草行業(yè)內(nèi)部員工，這就需要建設(shè)體系和運(yùn)維體系相融合。一是體系建設(shè)方要考慮煙草行業(yè)信息安全運(yùn)維管理人員的實(shí)際操作水平，盡量不用難以學(xué)習(xí)的計(jì)算機(jī)技術(shù)做系統(tǒng)，保證后期運(yùn)維難度不會(huì)過高。二是信息安全管理運(yùn)維體系的績(jī)效問題，績(jī)效可以衡量運(yùn)維人員、管理人員的工作成效，但是目前煙草行業(yè)沒有成熟的績(jī)效管理體系，這就有可能導(dǎo)致運(yùn)維人員工作不積極、管理人員態(tài)度消極等問題，各業(yè)務(wù)部門的要求得不到及時(shí)有效的回應(yīng)，對(duì)信息安全管理運(yùn)維體系的建設(shè)產(chǎn)生負(fù)面影響。其次是注意對(duì)復(fù)合化人才的培養(yǎng)，信息安全管理體系建設(shè)完成后的運(yùn)維體系建設(shè)一定要立足于行業(yè)內(nèi)部，這就需要煙草行業(yè)培養(yǎng)既懂業(yè)務(wù)又懂信息技術(shù)的人才，這樣的人才可以支撐起運(yùn)維體系的建設(shè)。而且，信息安全管理運(yùn)維體系應(yīng)該是與時(shí)俱進(jìn)的。隨著信息技術(shù)的發(fā)展，體系的標(biāo)準(zhǔn)、體系的需求也要進(jìn)行相應(yīng)的發(fā)展，這就需要煙草行業(yè)定期開展相關(guān)的技術(shù)培訓(xùn)會(huì)，保證運(yùn)維人員、管理人員的技術(shù)認(rèn)知不會(huì)落后于信息技術(shù)的發(fā)展。同時(shí)，要定期開展業(yè)務(wù)需求的培訓(xùn)，保證其在運(yùn)維的同時(shí)不會(huì)忽略業(yè)務(wù)需求，保證體系的運(yùn)維具備實(shí)用性。

結(jié) 語

在煙草行業(yè)信息化蓬勃發(fā)展的今天，信息安全運(yùn)維管理體系的建設(shè)也愈加重要，對(duì)行業(yè)中各煙草企業(yè)本身的信息安全、網(wǎng)絡(luò)安全都有著重要的意義。整體管理運(yùn)維體系的建設(shè)應(yīng)從網(wǎng)絡(luò)安全、信息系統(tǒng)安全、運(yùn)維管理體系三方面統(tǒng)籌考量，國(guó)家煙草專賣局應(yīng)出臺(tái)相應(yīng)的標(biāo)準(zhǔn)文件，為行業(yè)內(nèi)各煙草企業(yè)的信息化系統(tǒng)及信息安全運(yùn)維管理體系的建設(shè)提供規(guī)范與標(biāo)準(zhǔn)。